O compactador de arquivos gratuito 7-Zip recebeu uma atualização para corrigir uma vulnerabilidade na leitura de arquivos ".rar".Tirando proveito dessa falha, um hacker poderia criar um arquivo ".rar" especial que, ao ser aberto no 7-Zip, imediatamente executa um vírus e compromete o sistema, sem a necessidade de abrir um arquivo normalmente perigoso, como ".exe" (programa executável).

Para verificar se você possui o 7-Zip em seu computador, abra o menu iniciar e digite "7-Zip". Caso apareça o "7-Zip File Manager", o programa está instalado e precisa ser atualizado.

O programa pode ser baixado em 7-Zip.org. A versão ideal é a "x64"; se ela não funcionar, pode ser usada a de 32 bits. A versão com a falha corrigida é datada de 2018-04-30. Qualquer versão anterior provavelmente é vulnerável.

Por ser inteiramente gratuito e de código aberto, o 7-Zip é uma das principais alternativas ao software WinRAR, o programa que deu origem a arquivos compactados de formato ".rar". Ele também abre e cria arquivos no formato ".7z", com compactação potencialmente maior.

Um site de downloads brasileiro que distribui o aplicativo de maneira não oficial registra mais de 9 milhões de downloads. Desde fevereiro, o site Sourceforge, a fonte oficial do 7-Zip, registra 720 mil downloads. O programa foi criado em 1999.

O 7-Zip não dispõe de um recurso de atualização automática. Ele nem mesmo verifica a existência de uma atualização para notificar o usuário. Isso significa que muitas versões antigas do 7-Zip podem estar e, se a versão nova não for baixada manualmente, o aplicativo ficará desatualizado e vulnerável.

Abrindo o 7-Zip File Manager, a versão instalada pode ser consultada no menu Ajuda > Sobre o 7-Zip.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A Heise, uma respeitada publicação de tecnologia da Alemanha, publicou uma reportagem afirmando que a Intel estaria trabalhando para corrigir uma nova onda de oito falhas do tipo Spectre. Chamadas de Spectre-NG ("Spectre Nova Geração"), as falhas estariam ligadas à metodologia da Spectre original, mas com impacto ainda mais grave para as chamadas "máquinas virtuais", o que afeta gravemente o mercado empresarial.

Além dos produtos da Intel, processadores do tipo ARM (que são fabricados por empresas como Apple, Qualcomm, MediaTek, Nvidia e outras) também estariam vulneráveis, mas não há informação exata fabricantes e modelos. Também não há informação sobre os chips da AMD, que é concorrente da Intel. No mercado de notebooks, servidores e PCs, a Intel tem mais de 70% do mercado. A empresa não confirmou e nem negou a existência dos novos problemas.

As falhas Spectre e Meltdown balançaram os fabricantes de processadores quando foram reveladas em janeiro. As falhas existem em uma otimização estrutural do funcionamento dos chips. Por causa disso, as correções dos problemas -- especialmente o Meltdown, que afeta praticamente apenas a Intel --, acarretaram em perdas de desempenho.

Um hacker pode utilizar essas vulnerabilidades para ler o conteúdo da memória de outros programas em execução no computador. Isso significa que a falha não pode ser usada para invadir um sistema -- porque o hacker já precisa estar "dentro" do sistema antes de usar essas falhas --, mas ela pode ser usada para obter dados sensíveis aos quais o invasor não teria acesso.

As vulnerabilidades são uma preocupação ainda maior para os prestadores de serviços de processamento de dados e datacenter, como a Amazon Web Services e a nuvem do Google. Essas empresas utilizam o isolamento fornecido pelo processador para atender diversos clientes em um único computador. Um hacker poderia simplesmente se passar pro cliente para obter acesso ao computador e usar as falhas para roubar os dados dos demais clientes.

De acordo com a Heise, é exatamente nesse cenário que as falhas da Spectre-NG são mais perigosas. Diferente da Meltdown, a falha Spectre original era notória por ser bem difícil de explorar, o que tem mantido alguns ataques mais graves na teoria.

Ainda não se sabe se a correção das falhas Spectre-NG trará novos prejuízos ao desempenho dos processadores. Uma das oito falhas teria sido descoberta pelo Google, por meio da iniciativa Projeto Zero. Mas os demais pesquisadores e empresas envolvidas não foram divulgados pela Heise. Ainda conforme a publicação, parte das atualizações deve ser lançada ainda em maio, com  restante agendado para agosto.

Imagem: O fantasma da Spectre, símbolo escolhido porque a falha 'vai nos assombrar por muito tempo'. (Foto: Natascha Eibl/Domínio Público)

Nova fronteira
As falhas Spectre e Meltdown existem na forma que processadores otimizam o acesso a dados. Embora os dados em si jamais sejam vazados aos aplicativos, os especialistas em segurança descobriram ser possível tirar proveito do cache -- uma memória ultrarrápida e temporária do processador -- para ler dados de outros programas de maneira indireta.

SAIBA MAIS
Falhas Meltdown e Spectre não atingem apenas Intel: entenda

A descoberta dessas falhas representou não apenas um novo ataque, mas um novo método de abordagem para ataques, como uma "nova fronteira" para pesquisadores e hackers. Por esse motivo, a descoberta de novas falhas parecidas já era esperada por especialistas.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A fabricante de processadores AMD anunciou o lançamento de uma nova atualização de software para seus processadores com o intuito de imunizar sistemas contra a falha Spectre, em especial a "versão 2" da vulnerabilidade. A atualização vale para todos os processadores atuais até a série Bulldozer, lançada em 2001, que inclui processadores do FX-8170 a FX-4100, e faz parte do pacote mensal de atualizações do Windows lançado nesta terça-feira (10).

Fabricantes de placas-mãe também devem repassar as correções fornecidas na forma de atualizações de BIOS. A AMD afirma que a "combinação" da atualização da BIOS com as atualizações que fornecidas pelo Windows é necessária para obter as proteções.

"Spectre" é o nome popular de uma vulnerabilidade encontrada em uma técnica de otimização presente em diversos processadores modernos. Ela foi divulgada junto da falha Meltdown, que é mais grave e que, nos computadores de mesa e notebooks, afeta apenas produtos da Intel. Um hacker que explorar essas brechas pode acessar áreas da memória aos quais o seu programa não poderia ter acesso. Por isso, essas falhas trazem um risco maior para empresas, que dependam muito do isolamento de segurança oferecido pelos processadores para conceder acesso restrito a servidores.

Embora menos grave que a Meltdown, a Spectre é notória por ser difícil de corrigir. A AMD enfrentou problemas quando uma atualização distribuída pelo Windows deixou o sistema inoperante em produtos mais antigos da fabricante de chips.

Neste mês de abril, a Microsoft também removeu a exigência de que antivírus se "declarem" compatíveis antes de instalar essas atualizações. A empresa havia determinado que certos produtos de segurança impediam o sistema de funcionar corretamente quando as atualizações dos processadores eram instaladas.

SAIBA MAIS
Atualização do Windows para falha Meltdown conflita com antivírus

A AMD ainda não lançou atualizações para as falhas de segurança identificadas nos processadores Ryzen pela empresa israelense CTS Labs. As brechas Ryzenfall, Masterkey, Fallout e Chimera foram divulgadas publicamente apenas 24 horas após a AMD ser comunicada sobre o problema.

Diversos usuários e veículos de imprensa levantaram a suspeita de que a CTS Labs e sua parceira, a Viceroy Research, pretendiam lucrar com uma possível queda nas ações da AMD resultantes da divulgação da falha e que o impacto das vulnerabilidades havia sido exagerado. Desde a divulgação do relatório, as ações da AMD registram queda de 11% e não há relatos de que as falhas tenham sido usadas em ataques reais.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A Intel abandonou o programa "Intel Remote Keyboard", um aplicativo disponível para iOS e Android destinado a facilitar o controle dos "mini-PCs" vendidos pela empresa. Um alerta da Intel publicado na terça-feira (3) revela que a companhia recebeu três denúncias sobre falhas no app, que basicamente permitem que outras pessoas próximas injetem comandos em sessões estabelecidas.

O aplicativo teve pelo menos 500 mil downloads antes de ser retirado do Google Play nesta semana. Quem ainda possui o app instalado está aconselhado a desinstalar o software.

O programa tinha por objetivo transformar o celular em um "teclado portátil virtual" para os sistemas Intel NUC e Intel Compute Stick. O Intel Compute Stick (foto) é um computador em formato de "pen drive". Em vez de uma conexão USB, porém, ele dispõe de um conector HDMI para ser ligado diretamente em um monitor ou TV.

O NUC é uma diversa classe de computadores de pequeno formato e com variadas capacidades de processamento. O mais recente modelo da linha é o NUC8i7HVK, o "Hades Canyon", que traz um processador Intel com vídeo integrado da AMD. O produto foi anunciado no fim de março.

Tanto o NUC como o Compute Stick são sistemas que podem ter usos interessantes na sala de estar -- como centro de mídia ou até para jogos, como um console de videogame. Nesse ambiente, o computador não estaria ligado a um teclado. O Intel Remote Keyboard resolvia esse problema, permitindo o uso do celular.

No entanto, usando uma das falhas, outras pessoas poderiam interferir na sessão aberta e enviar teclas que não foram digitadas.

Segundo a Intel, o abandono do software já estava planejado antes de as falhas serem descobertas.




Página do intel Remote Keyboard no Google Play, que agora está fora do ar. Programa podia autenticar a sessão por código QR, mas proteção era insuficiente. (Foto: Reprodução)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A versão clássica do Skype para Windows, chamada de "versão 7", tem uma falha de segurança que, segundo a Microsoft, não será corrigida. No momento, mais de cinco meses após o descobrimento da vulnerabilidade pelo pesquisador de segurança Stefan Kanthak, a Microsoft não corrigiu o problema e quem utiliza a versão clássica do Skype pode não ser avisado de que o programa tem de obrigatoriamente ser atualizado para a versão UWP - o "novo" Skype.

A brecha permite que um software malicioso obtenha permissões administrativas no computador a partir do programa de instalação do Skype. Os meios de exploração da falha ainda são incertos, mas o problema não permite por si só que um vírus contamine o computador diretamente pelo Skype. O que a brecha faz é abrir caminho para que um programa já instalado no sistema se aproveite do Skype para obter permissões de acesso indevidas.

Para usuários de versões mais recentes do Windows, o "novo" Skype, que não possui a falha, precisa ser baixado da loja de aplicativos do Windows, a Microsoft Store. A nova versão ainda carece de diversos recursos presentes na versão 7, o que faz com que muitos usuários permaneçam na versão anterior.

O blog Segurança Digital verificou que o recurso de atualização do Skype informa que "a última versão do Skype está instalada", mas não diz que a versão 7 é considerada obsoleta. A Microsoft não oferece mais essa versão para download no site oficial do Skype.




Versão 7.40.0.151, a 'mais recente' do Skype clássico, tem vulnerabilidade. Solução é o 'novo' Skype disponível na Microsoft Store. (Foto: Reprodução)

Kanthak comunicou o problema à Microsoft em setembro de 2017. Ao especialista, a Microsoft justificou que corrigir o problema necessitaria que o código do instalador do Skype fosse reescrito e que isso não seria possível porque a empresa estava dedicando recursos à versão nova do Skype.

Erro conhecido

Sempre que um programa é carregado na memória, ele carrega junto de si diversos códigos prontos chamados de "bibliotecas". Isso desobriga o software de "reinventar a roda", pois ele pode chamar códigos já preparados com as funções que ele deseja realizar. No Windows, essas bibliotecas são reconhecidas pelo formato de arquivo "DLL".

Apesar de esse comportamento ser muito positivo e comum, há uma falha de segurança se o programa não verificar adequadamente o código carregado. Nesse caso, um invasor pode "plantar" um arquivo especial que será carregado e executado por um software legítimo. É como se um vírus podesse "infectar" um programa apenas colocando um arquivo na mesma pasta que ele, sem ter que modificar o programa em si.

É isso que ocorre com o programa de instalação e atualização do Skype: é possível colocar um arquivo "DLL" na mesma pasta que o instalador for executado e esse código será carregado no lugar de um DLL legítimo do Windows que o Skype deveria carregar.

O cenário de ataque para esse tipo de falha é um pouco restrito. Por isso, a Microsoft não corrige este problema no instalador do Skype desde que ele foi descoberto, em 2016.

No entanto, o recurso de atualização automática do Skype -- que é um serviço executado com permissões elevadas -- pode executar esses instaladores do Skype, abrindo um caminho para que um invasor passe de usuário desprivilegiado a administrador do sistema usando uma suposta atualização do Skype como "ponte". Este foi o ataque proposto por Kanthak.

Uma brecha idêntica foi descoberta em 2015 na Ferramenta de Remoção de Software Mal-Intencionado, um programa baixado periodicamente pelo sistema de atualização automática do Windows para remover pragas digitais comuns. Esse problema foi corrigido.

Como ocorre o ataque - em 4 passos

A falha não permite que um vírus seja instalado no computador diretamente, mas pode potencializar um ataque já em andamento. O ataque é teórico, mas ocorreria mais ou menos dessa forma:

1. O ataque começa com um vírus sendo executado pela vítima ou por alguém com acesso direto a um computador restrito. Esse vírus deve ser instalado por algum meio sem relação com a falha. A praga digital tem acesso aos arquivos pessoais, mas não pode interferir com o sistema operacional ou com o programa antivírus instalado, pois não tem as permissões necessárias.

2. O computador tem o Skype instalado. O vírus então aciona o mecanismo de atualização automática do Skype, fazendo com que uma nova versão seja baixada.

3. Antes de o serviço de atualização iniciar o instalador da nova versão, o vírus copia uma DLL maliciosa para a pasta onde a atualização é baixada. Esse download ocorre em uma pasta acessível para contas restritas, de modo que o vírus pode livremente modificar essa pasta. Se o download ocorresse em uma pasta onde o usuário não tivesse acesso, a falha não aconteceria.

4. O serviço de atualização irá executar o instalador do Skype baixado com permissões elevadas. O instalador carregará o código especificado pelo vírus no lugar do código original do sistema, repassando as permissões elevadas do serviço que o executou para o próprio vírus. Nesse momento, o vírus é capaz de interferir com o sistema operacional, desativar o antivírus e realizar outras atividades que impeçam a detecção e a remoção da praga digital.


Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A Intel mudou sua recomendação e está aconselhando que usuários evitem instalar uma das atualizações distribuídas pela empresa para corrigir as vulnerabilidades Meltdown e Spectre. A fabricante de processadores confirmou que a atualização está causando problemas nos computadores em que foram instaladas, incluindo reinicializações indevidas. Algum erro na atualização estaria causando instabilidade nos sistemas.

Os problemas foram inicialmente confirmados apenas em processadores Broadwell e Haswell, que são séries mais antigas da Intel, mas agora sabe-se que a instabilidade atinge também os chips mais novos, como a Kaby Lake. A Kaby Lake é a geração mais atual de processadores da Intel, lançada em 2017. Mesmo depois de confirmar os problemas, a Intel seguiu recomendando a distribuição da atualização.

A atualização em questão é um novo software de processador, chamado de "microcode", que deve ser distribuído por parceiros. A Dell e a HP, que já estavam distribuindo atualizações de firmware (o software executado na placa-mãe do computador) com o novo microcode estão agora distribuindo uma nova atualização que não contém mais o código problemático.

Atualizações de microcode podem ser instaladas de duas formas: pelo firmware da placa-mãe, de forma permanente, ou pelo sistema operacional, de modo temporário (o microcode precisa ser recarregado com o sistema).

Imagem: O fantasma da falha Spectre que, segundo os especialistas, é uma referência ao fato de que a falha vai nos 'assombrar por muitos anos'. (Foto: Natascha Eibl/Domínio Público)

Linus Torvalds: 'atualização é lixo'

A Meltdown e a Spectre exigem que os processadores sejam redesenhados. O novo microcode foi criado para corrigir as falhas Meltdown e Spectre de forma não ideal nos chips que estão no mercado para evitar um recall total. Ele oferece ao sistema operacional alguns novos mecanismos de controle no fluxo de processamento e o sistema pode decidir quando ativar esses mecanismos para impedir a exploração das falhas, mas trazem consigo um custo de desempenho.

Embora tenha dito que já identificou a causa do problema, a Intel não deu informações detalhadas sobre o que descobriu. Segundo um comunicado de segurança da Red Hat, que desenvolve uma versão popular do sistema Linux para o mercado corporativo, a empresa não está mais repassando a atualização de microcode que corrige a chamada "variação 2" da falha Spectre. A brecha é catalogada com o número de identificação CVE-2017-5715.

Linus Torvalds, o engenheiro criador do sistema Linux, notório por sua franqueza e tom destemperado em críticas, usou palavras duras para descrever as soluções da Intel para essa falha. Segundo ele, a Intel está fazendo "coisas insanas" e correções de software baseadas nessas alterações são um "lixo". Para Torvalds, as propostas da Intel indicam que a empresa pode estar cogitando a uma gambiarra atual nos processadores futuros em vez de corrigir o problema corretamente.

Linus prefere uma correção conhecida como "Retpoline", que foi proposta por um engenheiro do Google. Mas outro engenheiro, que propôs a alteração no Linux, observou que a Retpoline, embora funcione corretamente para sistemas mais antigos, depende de um mecanismo que também é falho nos processadores Intel da série Skylake.  Nesses processadores, os sistemas operacionais seriam obrigados a usar a solução de controle de fluxo da Intel.

Além das reinicializações, a solução da Intel tem um custo alto de desempenho. Por esse motivo, desenvolvedores de sistemas continuam procurando alguma solução alternativa.

Meltdown e Spectre

Meltdown e Spectre são os apelidos dados a uma falha estrutural existente em vários chips de processamento usados em computadores, notebooks, celulares e outros dispositivos. As falhas comprometem o isolamento básico que deve existir entre os diferentes espaços de memória usados por aplicativos e pelo sistema operacional, permitindo a captura de dados protegidos na memória.


Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]